使用gitlab runner和gitlab-ci在没有特权用户的情况下自动化码头容器的本地部署

Question

我们有一个面向原型的开发环境，在这个环境中，许多小型服务正在被开发和部署到我们的内部硬件中。我们使用GitLab来管理代码和GitLab CI / CD以实现持续集成。作为下一步，我们还希望将部署过程自动化。不幸的是，我们发现的所有文档都使用云服务或kubernetes集群作为目标环境。但是，我们希望配置我们的GitLab运行程序，使其能够在本地部署坞容器。同时，我们希望避免为运行程序使用特权用户(因为到目前为止，我们的服务器是通过Ansible /服务(如维护者)完全维护的)。

通常，我们的.gitlab-ci.yml看起来如下所示：

stages:
  - build
  - test
  - deploy

dockerimage:
  stage: build
  # builds a docker image from the Dockerfile in the repository, and pushes it to an image registry

sometest:
  stage: test
  # uses the docker image from build stage to test the service

production:
  stage: deploy
  # should create a container from the above image on system of runner without privileged user

TL；博士，我们如何配置本地Gitlab，以便在不使用特权的情况下从Gitlab / CD中定义的映像中本地部署码头容器？

Answer 1

构建阶段通常是人们在码头上使用码头的阶段(查找)。要避免使用特权用户，可以在Gitlab中使用卡尼科遗嘱执行人映像。

具体来说，您可以使用kaniko 调试图像，如下所示：

dockerimage:
  stage: build
  image:
    name: gcr.io/kaniko-project/executor:debug
    entrypoint: [""]
  script:
    - mkdir -p /kaniko/.docker
    - echo "{\"auths\":{\"$CI_REGISTRY\":{\"username\":\"$CI_REGISTRY_USER\",\"password\":\"$CI_REGISTRY_PASSWORD\"}}}" > /kaniko/.docker/config.json
    - /kaniko/executor --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/Dockerfile --destination $CI_REGISTRY_IMAGE:$CI_COMMIT_TAG
  rules:
    - if: $CI_COMMIT_TAG

您可以在Gilab的文档中找到如何使用它的示例。

如果要在部署阶段使用该映像，只需引用所创建的映像即可。

你可以这样做：

production:
  stage: deploy
  image: $CI_REGISTRY_IMAGE:$CI_COMMIT_TAG

使用此方法，您不需要特权用户。但我想这不是您在部署阶段所期望的。通常，您只需使用在容器注册表中创建的映像在本地部署容器。最后一个解释的方法将只在GitLab运行程序中部署映像。